03信息安全风险评估.ppt

风险评估 上海天帷企业管理咨询有限公司 Tanovo Management Consultation Co.,ltd. 2006年04月 风险管理 [ISO Guide 73:2002] 风险管理： 指导和控制组织风险的协调活动 注：风险管理活动一般包括风险评估、风险处理、风险接受和风险沟通。 现在流行的管理体系都存在风险管理 1、质量管理体系：质量风险-FMEA 2、环境管理体系：环境污染和能源过度使用带来的风险-环境因素识别评价 3、职业健康安全管理体系：危险源对人身和业务过程带来的风险-危险源识别评价 4、信息安全管理体系：信息资产对业务过程带来的风险-信息资产识别评价 风险管理的目的 1、降低或避免风险对公司业务的影响，将损失降到最低； 2、确保公司业务的连续性。 风险 [ISO Guide 73:2002] Risk: combination of the probability of an event and its consequence. 指事件发生的可能性及后果的结合。 风险基本要素: *风险→可能性 ＆ 后果 什么是信息安全风险评估 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。 风险评估的要素 要素及相关的属性 : 资产、威胁、脆弱性、安全措施 、业务战略、资产价值、安全需求、安全事件、残余风险 。 风险评估要素关系图 风险各要素之间关系 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大； 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； 风险的存在及对风险的认识导出安全需求； 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； 安全措施可抵御威胁，降低风险； 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险； 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 风险分析原理图 风险分析三要素 资产价值 威胁 脆弱性 风险基本公式 1、风险=可能性 ＆ 后果 2、信息安全风险值=安全事件的可能性＆造成的损失 3、安全事件的可能性=威胁＆脆弱性 4、造成的损失=资产价值＆脆弱性 风险评估流程说明 对组织信息安全管理现状进行全面系统的调查，为风险评估提供充分的信息； 1、按照分类,识别信息资产； 2、信息资产初步评估；评估出重要信息资产； 重要信息资产进行CIAB赋值计算； 3、重要信息资产面临威胁的识别与评价； 4、重要信息资产自身脆弱性的识别与评价； 5、现有安全控制措施的确认； 6、可能性评价 7、后果评价 8、风险评价及风险等级的确定； 9、控制措施选择实施； 10、残余风险评价； 11、残余风险接受批准。--最高管理者 1、资产识别 为了明确被保护的信息资产，应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。为了防止资产被忽视或遗忘，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，根据公司的业务流程和部门区域来识别信息资产。在进行资产识别时，应考虑以下几方面分类： 文档与数据：数据库和数据文件，系统文件，用户手册，培训资料，运作和支持程序，持续性计划，应急安排；合同，方针，企业文件，保持重要商业结果的文件；包括纸张和电子格式。 软件和系统：应用软件，系统软件，开发工具和实用程序； 硬件和设施：计算机和通信设备，磁质媒体（磁带和磁盘），其他的技术型设备（电源，空调），家具，处所； 人力资源：涉密和特殊人员； 服务：计算和通信服务、公共服务例如供暖、照明、供电、空气调节等。 怎样才能确保识别全部重要信息资产？ 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。 为了防止资产被忽视或遗忘，在识别资产之前应确定风险评估范围。 所有在评估范围之内的资产都应该被识别，就是列出对组织或组织的特定部门的业务过程有价值的任何事物，即根据组织的业务流程分部门区域来识别信息资产。 2、1信息资产初步评估；评估出重要信息资产； 在列出所有信息资产后